Matomo (Piwik)项目确认由于第三方库中包含的文件而存在潜在漏洞。无论网站是否有PHP配置指令register_globals=On,该漏洞都是可利用的。受影响的Matomo发行版仅限于Matomo版本0.2.35、0.2.36、0.2.37、0.4、0.4.1、0.4.2和0.4.3。Matomo 0.4.4及更高版本不受影响。
从Matomo 0.4.4版(2009年10月21日发布)开始,主题文件“ofc_upload_image.php”不再被包含。此外,在软件更新过程中,Matomo将尝试删除发现的文件。Matomo项目还为Open Flash Chart(以及已知使用相同库的其他开源项目)的开发人员提供了建议,但我们不代表他们。
由于Secunia建议链接利用代码,我们敦促Matomo用户立即更新到最新版本的Matomo。
建议无法更新到最新版本的Matomo用户删除位于“libs/open-flash-chart/php-ofc-library/ofc_upload_image.php”的文件。
我们也建议用户通过设置register_globals=Off来保护他们的web服务器环境,但建议谨慎,因为这可能会影响其他web应用程序的运行。
更新:2009年12月14日:指定候选CVE-2009-4140
